Un agent AI autonom construit de startup-ul de securitate CodeWall a pătruns în platforma internă de inteligență artificială generativă a McKinsey & Company, Lilli, în doar două ore, obținând acces complet de citire și scriere la baza de date de producție fără credențiale sau asistență umană, conform unei dezvăluiri raportate inițial de The Register pe 9 martie.
Atacul a expus 46,5 milioane de mesaje de chat privind strategii, fuziuni și achiziții și angajamente cu clienții — toate stocate în text simplu — împreună cu 728.000 de fișiere încărcate, 57.000 de conturi de utilizatori și 95 de prompt-uri de sistem care controlau comportamentul Lilli. Acele prompt-uri erau editabile, ceea ce înseamnă că un atacator ar fi putut modifica în tăcere ce spunea chatbot-ul celor peste 40.000 de utilizatori activi ai McKinsey fără a implementa niciun cod.
O eroare de securitate veche de zeci de ani într-un sistem AI modern
Vulnerabilitatea nu era un defect exotic specific inteligenței artificiale. Agentul CodeWall a descoperit documentație API expusă public, cu 22 de endpoint-uri care nu necesitau autentificare. Unul dintre aceste endpoint-uri accepta payload-uri JSON și scria interogările de căutare ale utilizatorilor într-o bază de date. Agentul a descoperit că numele câmpurilor JSON — nu valorile introduse — erau concatenate direct în instrucțiuni SQL, o vulnerabilitate clasică de injectare care a scăpat instrumentelor standard de scanare.
„Când a găsit chei JSON reflectate exact în mesajele de eroare ale bazei de date, a recunoscut o injectare SQL pe care instrumentele standard nu ar fi semnalat-o”, au scris cercetătorii CodeWall. Pe parcursul a 15 iterații oarbe, agentul a extras informații din ce în ce mai detaliate, până când datele de producție au început să curgă înapoi.
Prompt-urile sistemului Lilli erau stocate în aceeași bază de date, ceea ce însemna că o singură instrucțiune UPDATE ar fi putut rescrie modul în care platforma răspundea fiecărui consultant care o folosea. Agentul a accesat și 3,68 milioane de fragmente de documente RAG — baza de cunoștințe care alimenta răspunsurile Lilli, cuprinzând ani de cercetări și framework-uri proprietare McKinsey.
McKinsey răspunde, dar întrebările persistă
Agentul CodeWall a identificat vulnerabilitatea de tip SQL injection la sfârșitul lunii februarie, iar cercetătorii au divulgat întregul lanț de atac pe 1 martie. McKinsey a corectat toate punctele de acces neautentificate, a scos offline mediul de dezvoltare și a blocat documentația publică a API-ului până a doua zi.
„Investigația noastră, sprijinită de o firmă terță de specialitate în informatică criminalistică, nu a identificat nicio dovadă că datele clienților sau informațiile confidențiale ale clienților au fost accesate de către acest cercetător sau de către orice altă terță parte neautorizată”, a declarat un purtător de cuvânt McKinsey pentru The Register.
Analistul independent de securitate Edward Kiledjian a menționat că, deși CodeWall a descoperit probabil o vulnerabilitate gravă, postarea de pe blog „exagerează ceea ce a fost de fapt demonstrat și estompează linia dintre a avea acces și a exfiltra efectiv date”. CodeWall, care vinde o platformă autonomă de testare a securității ofensive aflată în prezent în etapa de previzualizare timpurie, a efectuat testul conform politicii publice de divulgare responsabilă a McKinsey pe HackerOne.
CEO-ul CodeWall, Paul Price, a avertizat că implicațiile mai largi se extind mult dincolo de McKinsey. „Hackerii vor folosi aceeași tehnologie și aceleași strategii pentru a ataca fără discriminare”, a declarat el pentru The Register, citând șantajul financiar și ransomware-ul ca obiective probabile.
Surse:
https://www.theregister.com/2026/03/09/mckinsey_ai_chatbot_hacked/
https://www.linkedin.com/posts/andreashorn1_mckinsey-company%F0%9D%98%80-%F0%9D%97%94%F0%9D%97%9C-%F0%9D%97%BD%F0%9D%97%B9%F0%9D%97%AE%F0%9D%98%81%F0%9D%97%B3%F0%9D%97%BC%F0%9D%97%BF-activity-7437384939488235520-gaoN
An AI agent hacked McKinsey’s internal AI platform in two hours using a decades-old technique